Gisele Strey (AARB) no 7º Encontr[AR]: Síntese Jurídica das 3 INs do ITI que Mudaram a ICP-Brasil

O 7º Encontr[AR] da AARB foi montado em camadas que se complementam. Enylson Camolesi (ITI) abriu o dia com a visão macro de 25 anos de ICP-Brasil e o próximo ciclo regulatório. Márcio Nunes (V/CERT + ANCD) explicou o que muda na cadeia V12 e como a automação encerra jornadas fragmentadas. Flávio Pinto (Syngular) ensinou como uma AR se posiciona em mercado competitivo. Elizabeth Martos (Trevisan) traduziu a Reforma Tributária como virada de jogo. E então, no último bloco do dia, subiu ao palco a pessoa cuja função é conectar tudo isso à prática jurídica do dia a dia das ARs.

Gisele Strey não é uma jurista externa que comenta as INs a partir da leitura. Ela é Diretora Jurídica e de Compliance da AARB e participou ativamente do grupo de trabalho convocado pelo ITI para construir o texto que virou a IN ITI 36/2026. Quando ela explica o porquê de uma redação, não é interpretação — é memória de bastidor. A palestra entregou exatamente isso: o "manual operacional" das três instruções normativas publicadas no DOU de 04/05/2026, com os prazos, as vedações e o desenho de responsabilidades que cada AR precisa internalizar nos próximos 60 a 90 dias.

Quem é Gisele Strey e por que essa palestra fechou o evento

Gisele Strey atua como Diretora Jurídica e de Compliance da AARB — a entidade que representa as Autoridades de Registro no ecossistema ICP-Brasil. Sua função une advocacia setorial, compliance regulatório e diálogo institucional com o ITI, a AC-Raiz e o Comitê Gestor da ICP-Brasil.

O posicionamento dela no encerramento foi proposital. Depois de cinco horas em que cada palestrante apresentou uma face da transformação (regulatória, técnica, mercadológica, tributária), faltava o costuramento jurídico-operacional. Onde, exatamente, está escrito que isso muda? Em qual artigo? Até quando preciso adequar? Quem responde se algo der errado? Para essas perguntas, a AARB encaminhou para o palco a pessoa que participou da redação dos textos.

As três instruções normativas publicadas em 04/05/2026

Em apenas 24 horas, o ITI publicou três instruções normativas que, em conjunto, redesenham o regramento da ICP-Brasil pela primeira vez em uma década:

• IN ITI 35/2026 — introduz a cripto-agilidade e a transição para algoritmos pós-quânticos (ML-DSA, ML-KEM) no ecossistema ICP-Brasil. Conexão com o GT de Criptografia Pós-Quântica do Comitê Gestor;
• IN ITI 36/2026 — consolida o regulamento oficial da AR Eletrônica, define as Bases Oficiais Nacionais, normatiza o match biométrico obrigatório, regulamenta videoconferência em 3 fases e estabelece vedações por categoria de titular;
• IN ITI 37/2026 — cuida específicamente da qualidade biométrica: NFIQ 2.0 ≥ 70, FAR (False Acceptance Rate) de 0,01%, TAR (True Acceptance Rate) mínimo de 99,0% (e 99,4% em rotinas específicas), deduplicação semestral nas bases biométricas.

Gisele Strey concentrou a palestra na IN 36 (a mais densa para AR/AGR) com pontes para as outras duas onde a interface técnica exige atenção jurídica.

As 4 Bases Oficiais Nacionais (Art. 5º da IN ITI 36/2026)

O Art. 5º da IN ITI 36/2026 é o ponto de partida da arquitetura da AR Eletrônica. Define, taxativamente, quais são as 4 Bases Oficiais Nacionais autorizadas como fonte primária para emissão de certificado digital ICP-Brasil pela AR Eletrônica:

1. CIN — Carteira de Identidade Nacional (RIC/Receita Federal)
2. ICN — Identificação Civil Nacional (Tribunal Superior Eleitoral)
3. CNH — Carteira Nacional de Habilitação (Senatran)
4. IPD — Identidade Profissional Digital (SGD — Secretaria de Governo Digital)

Esses são os únicos caminhos primários para iniciar a emissão via AR Eletrônica. Gisele foi enfática em um ponto que vinha gerando confusão no setor:

“A PSBio não é uma Base Oficial Nacional. É uma base auxiliar válida no processo, mas não substitui a consulta às 4 Bases Oficiais listadas no Art. 5º.”

— Dra. Gisele Strey, Palestra 03 do 7º Encontr[AR], 13/05/2026.

A clarificação tem peso operacional. Antes da IN 36, ARs e ACs entendiam a PSBio (Plataforma de Serviços Biométricos, do governo federal) como base oficial. A IN 36 reclassificou: a PSBio segue como fonte legítima para enriquecimento e cruzamento, mas a porta de entrada da AR Eletrônica precisa ser uma das 4 Bases do Art. 5º. O passaporte eletrônico, por sua vez, é tratado em rota alternativa do Art. 58 §3º, não como Base Oficial — aplicado tipicamente para brasileiros no exterior ou casos específicos definidos no regulamento.

A vedação dos PEPs, magistrados e membros do MP e Tribunal de Contas

O ponto mais comentado da palestra foi a vedação por categoria de titular. A IN ITI 36/2026 estabelece que determinados perfis não podem emitir certificado digital via AR Eletrônica, mesmo que possuam documentos das 4 Bases Oficiais. Gisele cuidou de explicar exatamente quem está alcançado:

• PEPs — Pessoas Politicamente Expostas (definição do COAF/Lei 9.613/1998)
• Magistrados — juízes de todas as instâncias
• Membros do Ministério Público
• Membros do Tribunal de Contas (União, Estados e Municípios)

A frase mais citada da palestra:

“Por mais que ele tenha passaporte, CIN ou CNH, esse público não pode ter o certificado [via AR Eletrônica].”

— Dra. Gisele Strey.

A racionalidade regulatória, conforme apresentada: risco político-reputacional elevado em caso de fraude alcançando essas figuras públicas. A AR Eletrônica trabalha com fluxo remoto, e o regulador entendeu que esses perfis exigem o vetor de segurança adicional do atendimento presencial: olhar humano, documento físico em mãos, autoridade local da AR.

O endereçamento operacional é direto: esses titulares seguem emitindo presencialmente em AR física tradicional. Para ARs com base relevante de clientes políticos ou do Judiciário/MP, isso significa manter ou reforçar pontos de atendimento presencial — não adianta migrar 100% para AR Eletrônica.

Documentos rejeitados: vencidos, deteriorados, e-Título com tarja

Gisele detalhou trinta minutos da palestra inteiramente dedicados à prática de análise documental. A IN 36 lista explicitamente os documentos que não podem ser aceitos em nenhuma hipótese de emissão:

• Documentos vencidos — CNH, RG, passaporte, qualquer documento com data de validade expirada
• Documentos deteriorados — rasgados, com partes ilegiveis, sem foto reconhecível, com alteração visível
• e-Título com tarja — o e-Título emitido pelo TSE com a tarja "NÃO É VÁLIDO PARA IDENTIFICAÇÃO CIVIL" está expressamente vedado

O ponto do e-Título virou debate no auditório. Gisele explicou:

“O e-Título é válido para votação eletrônica e exercício de cidadania política. Não para identificação civil. Por isso, mesmo com QR Code válido, o e-Título com a tarja não pode ser aceito como documento de emissão de certificado.”

— Dra. Gisele Strey.

Em relação às pessoas com analfabetismo ou impossibilidade de assinar, a regra é clara:

“PF analfabeta exige assinatura a rogo presencial obrigatoriamente. Não é possível emitir via AR Eletrônica.”

— Dra. Gisele Strey.

O racional: a IN 36 entende que a assinatura a rogo (assinatura feita por terceiro a pedido do titular, perante testemunhas) exige vetor presencial obrigatório para garantir a autonomia da vontade do titular sem inércia de vídeo.

Pessoas jurídicas: Baixada e Nula vedadas; Inapta e Suspensa em lacuna

A IN 36 também alcança a emissão de e-CNPJ via AR Eletrônica e estabelece restrições por situação cadastral da pessoa jurídica:

• Ativa — permitida normalmente
• Inapta — lacuna normativa: a IN não tratou explicitamente. Em interpretação conservadora, AR deve declinar ou exigir presencial
• Suspensa — lacuna normativa: situação semelhante à Inapta
• Baixada — vedada (e-CNPJ não pode ser emitido para PJ que já foi formalmente baixada na Receita Federal)
• Nula — vedada (PJ com inscrição anulada)

Gisele recomendou cautela com Inapta e Suspensa:

“Onde a norma não se manifesta expressamente, a regra hermenêutica jurídica em ambiente regulatório de risco recomenda interpretação conservadora. A AR pode declinar da emissão ou exigir presença física para revisão documental, registrando expressamente em DPN essa política.”

— Dra. Gisele Strey.

O e-mail OTP único por CPF: o fim de uma prática recorrente

Uma das mudanças operacionais mais discutidas pelos AGRs presentes foi a regra do e-mail único por CPF:

“Um e-mail único por CPF para fins de OTP. Acaba a prática de contadores e escritorios usarem o próprio e-mail para receber códigos OTP de múltiplos clientes.”

— Dra. Gisele Strey.

A prática que está sendo encerrada: contadores e escritorios contabeis que centralizavam, no próprio e-mail, o recebimento de códigos OTP usados na emissão de certificados de clientes. Comodo para o contador, mas problemático do ponto de vista de segurança e atestamento da vontade do titular — o titular precisa receber o código dele, não um terceiro.

A partir da IN 36/2026, cada CPF precisa ter um e-mail cadastrado de forma única para receber OTPs. Cada e-CPF emitido vai usar o e-mail real do próprio titular — não o do contador. Mudança operacional relevante para escritorios contábeis que precisarão reorganizar fluxo, e oportunidade para ARs/ACs orientarem o canal contador a uma nova dinâmica de atendimento.

A videoconferência da AR Eletrônica em 3 fases

O processo de emissão via AR Eletrônica foi estruturado em 3 fases obrigatórias, segundo a apresentacaão de Gisele:

Fase 1 — Pré-call (upload do documento)

Antes da videoconferência, o titular faz upload dos documentos de identidade na plataforma da AR Eletrônica. Sistema executa OCR, valida formato, verifica conformidade primária. Documento é armazenado com hash criptográfico para auditoria futura.

Fase 2 — Call ao vivo com documento físico

Videoconferência sincrônica entre titular e agente de validação (AGR). Titular precisa apresentar o documento físico à câmera, mesmo tendo feito upload na Fase 1. AGR confere correspondência entre arquivo enviado e documento real. Toda a sessão é gravada em vídeo e armazenada para auditoria.

Fase 3 — Match biométrico 1:1

Comparação facial 1:1 entre rosto capturado na videoconferência e biometria armazenada nas Bases Oficiais Nacionais (CIN, ICN/TSE, CNH/Senatran, IPD/SGD). DataValid é o serviço de cruzamento padrão adotado pela ICP-Brasil para essa comparação.

Gisele esclareceu o ponto que vinha gerando dúvida sobre o status do DataValid:

“Antes da IN 36, o uso do DataValid era fortemente recomendado. Agora, é obrigatório em todas as emissões. Não é mais opção.”

— Dra. Gisele Strey.

Renovação biométrica a cada 5 anos

O §2º do Art. 60 da IN ITI 36/2026 institui a regra de renovação quinquenal da biometria. Significado prático:

• A cada 5 anos, o titular precisa refazer a captura biométrica em AR (presencial ou eletrônica)
• Vale para emissão e renovação de certificados ICP-Brasil em todas as modalidades
• Aplica-se a AR Eletrônica e AR Presencial — não é exclusivo de uma modalidade

O racional regulatório: traços biométricos evoluem ao longo do tempo (envelhecimento, alterações faciais por cirurgia ou acidente). Cinco anos é a janela considerada aceitável pelo regulador antes de exigir nova captura para garantir qualidade do match futuro.

A conexão com a IN 37/2026 é direta: a IN 37 estabelece os padrões de qualidade biométrica (NFIQ 2.0 ≥ 70, FAR 0,01%, TAR ≥ 99,0% em rotina padrão e 99,4% em alta segurança) e exige deduplicação semestral da base biométrica para evitar duplicação de identidade no sistema.

Os prazos críticos: 60 dias para DPCs e 90 dias para travas técnicas

Aqui chegamos ao bloco que toda AR precisava ouvir. Gisele explicou que o cronograma de adequação da IN ITI 36/2026 tem prazos específicos contados a partir da publicação no DOU (04/05/2026):

60 dias para adequação das DPCs

Prazo final: 04/07/2026. As Declarações de Práticas de Certificação (DPCs) e Políticas de Certificação (PCs) das ARs e ACs precisam ser integralmente atualizadas para refletir as novas regras. Isso inclui:

• Referência às 4 Bases Oficiais Nacionais do Art. 5º
• Documentação das vedações por categoria de titular (PEPs, Judiciário, MP, TC)
• Procedimento de e-mail único por CPF para OTP
• Processo de videoconferência em 3 fases
• Política de renovação biométrica quinquenal
• Lista de documentos aceitos e rejeitados
• Procedimento de tratamento para PJs Inaptas e Suspensas

90 dias para travas técnicas e antifraude por videoconferência

Prazo final: 05/08/2026. Implementação efetiva, no ambiente técnico da AR, de:

• Match biométrico 1:1 obrigatório em 100% das emissões
• Liveness detection 3D contra fraudes de deepfake (conexão com a IN ITI 37)
• Integração com DataValid em todas as emissões
• Armazenamento e auditoria das gravações de videoconferência
• Travas no sistema para bloquear emissão quando perfil de titular for vedado (PEP, magistrado, MP, TC)

Os dois prazos têm natureza diferente. Sessenta dias é jurídico-documental — basicamente reescrever DPC/PC. Noventa dias é técnico-operacional — integração de APIs, atualização de sistemas, treinamento de AGRs. O segundo é mais complexo e exige planejamento imediato.

"A responsabilidade é de todos": responsabilidade solidária no ecossistema

A frase mais filosófica e mais prática da palestra:

“A responsabilidade é de todos.”

— Dra. Gisele Strey, ao tratar da arquitetura de responsabilização civil e regulatória.

Em ambiente ICP-Brasil, não existe responsabilidade isolada. Numa fraude ou falha:

• O titular do certificado responde pelos atos praticados com seu certificado
• O agente de registro (AGR) respondia pelo ato de validar a identidade
• A AR responde pela conduta do AGR e pela integridade do processo
• A AC vinculada responde pela conformidade da AR habilitada
• O CGICP-Brasil e o ITI fiscalizam e respondem regulatoriamente pelo sistema

A consequência operacional é profunda. Políticas internas precisam ser reforçadas em cada nível, porque qualquer elo da cadeia pode ser acionado em uma ação judicial ou regulatória. A frase complementar de Gisele:

“A DPN (Declaração de Práticas de Negócio) da AR é o primeiro instrumento jurídico de defesa. Se a DPN está atualizada, se reflete exatamente o processo executado, se está alinhada com as INs vigentes, você tem o suporte de defesa. Se não, fica vulnerável.”

— Dra. Gisele Strey.

LGPD obriga compliance no CNPJ inteiro — não só na operação de AR

Um dos blocos mais inesperados da palestra foi a lembrança sobre LGPD. Gisele provocou:

“A LGPD obriga compliance em todos os fluxos de dados pessoais da pessoa jurídica — não apenas no escopo da operação de AR. ARs frequentemente tratam LGPD só dentro do processo de emissão, deixando descobertos marketing, vendas, RH, atendimento, suporte. É falha grave.”

— Dra. Gisele Strey.

Auditorias do ITI, da AC vinculada e da ANPD (Autoridade Nacional de Proteção de Dados) podem alcançar todos os ambientes operacionais do CNPJ — não só o sistema de emissão. Para ARs em operação:

• Atendimento (chat, telefone, e-mail) precisa ter base legal de tratamento documentada
• CRM com dados de prospecção precisa de política de retenção, descarte e direito do titular
• Marketing com cookies, segmentação e remarketing precisa de política de cookies atualizada (conexão com Decreto SXSW 2025)
• RH com dados de funcionários precisa de DPO indicado, registro de tratamento, programa de privacidade

Conexão com a IN ITI 36/2026 e o regulamento da AR Eletrônica

Como Diretora Jurídica da AARB e integrante do grupo de trabalho que redigiu a norma, Gisele teve oportunidade de comentar a gênese de algumas decisões regulatórias relevantes:

Por que 4 Bases Oficiais específicas? Foram escolhidas por terem cobertura nacional, base biométrica consolidada e governança regulatória estabelecida (Receita Federal, TSE, Senatran, SGD). PSBio foi excluída do núcleo primário porque é serviço agregador de bases, não base primária de identidade.

Por que vedação dos PEPs? O grupo de trabalho do ITI ponderou risco político-reputacional em caso de incidente alcançando essas figuras. Manter o vetor presencial obrigatório é cami nho de defesa para o sistema. Conexão direta com a resposta ao caso de deepfake confirmado pelo ITI em 2026.

Por que 5 anos para biometria? É o período encontrado em referências internacionais (eIDAS europeia, NIST americano) como janela segura antes de exigir nova captura, balanceando segurança com fricção operacional do titular.

O que ARs e AGRs precisam fazer agora — checklist operacional

Gisele encerrou a palestra com um roteiro prático de adequação:

Bloco jurídico (prazo 60 dias — até 04/07/2026)

1. Reescrever DPC/PC refletindo Art. 5º (4 Bases Oficiais)
2. Documentar vedações para PEPs/Judiciário/MP/TC com base legal
3. Atualizar DPN com novos processos e responsabilidades
4. Revisar contratos com AGRs e parceiros refletindo responsabilidade solidaria
5. Revisar política de cookies e LGPD em todos os ambientes do CNPJ

Bloco técnico (prazo 90 dias — até 05/08/2026)

1. Integrar DataValid para match biométrico 1:1 em 100% das emissões
2. Implementar liveness detection 3D obrigatório
3. Configurar sistema de e-mail único por CPF para OTP
4. Configurar videoconferência em 3 fases com gravação e armazenamento auditável
5. Implementar trava por categoria de titular (PEPs, magistrados, MP, TC)
6. Confirmar arquitetura de renovação biométrica quinquenal nos sistemas

Bloco organizacional (contínuo)

1. Treinar todos os AGRs nas novas regras de análise documental
2. Treinar atendimento para esclarecer publico de que perfis não podem usar AR Eletrônica
3. Reorganizar fluxo com contadores parceiros (e-mail único por CPF)
4. Reforçar pontos de atendimento presencial para perfis vedados (PEPs/Judiciário/MP/TC)

A síntese: o que Gisele Strey entregou ao 7º Encontr[AR]

Em retrospectiva, o que Gisele fez foi traduzir cinco horas de explicação regulatória, técnica e mercadológica em um manual operacional de 60 a 90 dias. Cada palestrante do dia tinha mostrado uma face da mudança; ela mostrou o como executar com segurança jurídica.

Para ARs estabelecidas — Certificado Campinas, Selo Eletrônico, e tantas outras AGRs do ecossistema — a palestra entregou três recados de alto valor prático:

1. Conformeça está nos detalhes da DPN. Em ambiente onde a responsabilidade é solidária, ter a Declaração de Práticas de Negócio atualizada e fiel ao processo executado é literalmente sua primeira linha de defesa em qualquer litigio ou auditoria. Investir nessa documentação não é burocracia — é política de risco.

2. Os perfis vedados (PEPs/Judiciário/MP/TC) viram oportunidade para AR presencial. Onde outras ARs migrarem totalmente para fluxo eletrônico, ARs que mantiverem ou reforçarem o atendimento presencial qualificado capturam um nicho. Esses titulares têm necessidade obrigatória por presencial e tendem a ter ticket médio mais alto.

3. LGPD em todo o CNPJ é a maior pegadinha do setor. É comum ver ARs com tratamento de LGPD impecável no processo de emissão e totalmente descoberto no marketing, no atendimento, no RH. Auditorias do ITI e da ANPD podem alcançar todos os ambientes. Esta é oportunidade para profissionalizar a governanca de privacidade da empresa inteira, não só do produto.

Para Leandro Albertini, fundador do Selo Eletrônico e do Certificado Campinas, que atua com certificação digital ICP-Brasil desde 2016 e acompanhou presencialmente toda a programacaão do 7º Encontr[AR], a palestra da Dra. Gisele Strey fechou de maneira coerente um dia que começou com o visão estratégica do ITI, passou pela arquitetura técnica V12, pelo posicionamento de marca, pela Reforma Tributária, e terminou com o manual jurídico-operacional — o que fazer, em qual ordem, com qual prazo. A combinacaão entre IN 36/2026, Reforma Tributária e pós-quântica define os próximos 18 meses do setor. ARs que internalizarem o checklist agora saem na frente; ARs que esperarem vão correr atras.

A cobertura completa de cada palestra do 7º Encontr[AR] está consolidada no hub do evento. Para entender em profundidade o regulamento da IN ITI 36/2026 que Gisele traduziu, consulte o artigo-pilar de análise da norma.

Leandro Albertini

Empresário e fundador do Selo Eletrônico e do Certificado Campinas. Atua com certificação digital ICP-Brasil desde 2016, com mais de 100.000 emissões realizadas e 11.020 avaliações no Google. Acompanhou presencialmente a Palestra 03 do 7º Encontr[AR] em São Paulo.

LinkedIn Site